https://blok.2000cubits.org/nalepky/nft/Recent content in nft on BlokHugo -- gohugo.iocs-czTue, 13 Jan 2026 13:04:09 +0100https://blok.2000cubits.org/poznamky/2026-01-nft-blokovani-skenu-portu/Tue, 13 Jan 2026 13:04:09 +0100https://blok.2000cubits.org/poznamky/2026-01-nft-blokovani-skenu-portu/Tento modul firewallu je určený k ochraně proti skenování portů a podobným síťovým útokům. Je navržen pro nasazení na rozhraní eth0 (Ingress) a poskytuje: Detekci TCP SYN scan, TCP NULL scan, TCP XMAS scan Detekci UDP scanů (malé pakety na netypické porty) Dynamický blacklist s automatickým timeoutem (30 min) Manuální blacklist pro trvalé blokování celých rozsahů (CIDR) Whitelist pro důvěryhodné zdroje (např. security tým, VPN) s podporou subnetů Detailní logování s jednotnými prefixy pro SIEM Tabulka je implementována v nftables na úrovni netdev (Ingress), což zajišťuje minimální dopad na výkon, protože pakety jsou zahazovány ještě před procesem conntracku.